帽子戲法下的3家知名雲廠商對比

9月23日，用於Linux內核的虛擬化技術Xen被爆出3個安全性漏洞，著實上演了一出帽子戲法。 Xen漏洞可跳出虛擬主機環境（越權），或讀取其它使用者的資料、控制hypervisor本身（宿主機）。 遠端攻擊者可利用漏洞造成主機系統崩潰，拒絕服務合法使用者。 Xen漏洞危害程度和影響範圍不可謂不大，例如亞馬遜AWS大規模重啟伺服器——整個修復週期持續5天（從9月25日下午7點到9月30日下午5點），影響的產品包括EC2、RDS、ElastiCache和RedShift等。 可能很多人對Xen不太瞭解，以及Xen漏洞對其它雲服務廠商的影響，本文將從Xen漏洞帽子戲法看AWS、Rackspace、SoftLayer的碰撞。

XEN是什麼

Xen技術架構圖

維琪百科給出的一句話解釋是：「Xen是一個開放原始碼虛擬機器監視器，由劍橋大學開發。 它打算在單個電腦上運行多達128個有完全功能的作業系統。 」其實，Xen就是類似于企業級ESX的一個開源軟體。

Xen上演漏洞帽子戲法

這次的三個漏洞到底是什麼樣的，以及危害又有哪些呢？ 我們摘錄了雲計算服務商UCloud內核團隊所撰寫文章中的一段文字，從而得以清楚地瞭解到Xen漏洞。

1. CVE-2014-7154危害和影響最大。 它老爹是dom0。 dom0在Xen架構中的地位非常重要，它包含控制硬體的驅動和控制虛擬機器的工具集。 所以它會影響到整個物理機上面所有的虛擬機器，這樣的漏洞是最恐怖的，波及範圍廣，修補起來又需要重啟，甚至業務中斷。 從技術角度來看的話，它主要是在HVMOP_track_dirty_vram裡面存在竟態條件，HVMOP_track_dirty_vram是一個用來控制髒顯存跟蹤設置的函數。

2. CVE-2014-7155次之。 客戶機可以利用該漏洞載入自己的IDT或GDT，可能導致虛擬機器的宕機，還可以獲取root許可權。 需要注意的是，這裡不是虛擬機器逃逸，而是獲取虛擬機器的root許可權。 它產生危害也不小，因為「黑闊」又多了一個提權利器。 它講的是在X 86的HLT、LGDT、LIDT、LMSW指令類比時沒有做特權檢查，這些指令都是用來載入全域描述附表、中斷描述項表或者局部描述項表等。

3. CVE-2014-7156危害最低。 利用該漏洞，可能導致虛擬機器的宕機，但宕機也不是小事，不容小覷。 從技術角度來說，它主要是在x86中類比軟中斷的時候，沒有做特權檢查，惡意的HVM客戶機上面的代碼能夠使客戶機宕機。

帽子戲法下的3家知名雲廠商對比

Xen漏洞引起了AWS、Rackspace和IBM的SoftLayer等IaaS服務提供者的高度重視。 一家SaaS雲服務提供者RightScale日前發佈了一份因Xen漏洞各大供應商的 停機時間調查報告，此次調查的樣本總量為450個。 下面是調查的詳細情況：

AWS：有5%的AWS使用者的停機時間超過1小時，51%的使用者未有停機時間，剩下的使用者只是像過去那樣進行了重啟或停機的時間非常短。 （注：樣本數量為349）

Rackspace：有13% Rackspace使用者的停機時間超過了1小時。 （注：樣本數量為66）

SoftLayer：有17% SoftLayer使用者的停機時間超過了1小時。 （注：樣本數量為42）

報告還顯示，總共有74個使用者內部部署了Xen。 儘管其中有41%的使用者抱怨稱，此次打補丁的工作量極大，但也有81%的使用者表示，他們這次重啟伺服器過程非常地順利。

不言而喻，重啟服務對雲計算帶來的負面影響是無法抹去的。 10%的調查者表示可能不再繼續使用AWS服務，Rackspace和SoftLayer比例分別為20和29%。 在這些數位中肯定大部分為那些停機時間超過1小時的使用者。

寫在最後

在這個時代和這個行業，停止1小時的服務，對企業來說可能是災難性的。 雖然各家服務廠商都以不錯的回應速度、對安全也足夠重視、沒有僥倖心理，我們在給個贊的同時也不禁思考：是否可以在修補漏洞的時候不重啟呢？ 隨著企業越來越多地依賴于AWS、微軟Azure、谷歌、SoftLayer、惠普、Oracle和Rackspace等之類的雲計算供應商，是否應該有一些標準的方法來處理這些問題？

附：Xen的Logo

官方主頁： HTTP://www.cl.cam.ac.uk/research/srg/netos/xen/

（責編/仲浩）

免費訂閱「CSDN雲計算（左）和CSDN大資料（右）」微信公眾號，即時掌握第一手雲中消息，瞭解最新的大資料進展！

CSDN發佈虛擬化、Docker、OpenStack、CloudStack、資料中心等相關雲計算資訊，     分享Hadoop、Spark、NoSQL/NewSQL、HBase、Impala、記憶體計算、流計算、 機器學習和智慧演算法等相關大資料觀點，提供雲計算和大資料技術、平臺、實踐和產業資訊等服務。